防火墙技术综合实验

一、实验目的:本次实验是将多种访问控制列表以及防火墙部分的知识做一个汇总

二、实验内容

A:Established控制列表

拓扑图

配置步骤

1:配置各端口ip地址,配置登陆密码

2:测试连通性

服务器远程登陆R2

Pc0 ping 服务器

3 关键命令

在检测连通性,确保无误后,配置acl

R0(config)#access-list 100 permit ospf any any    //因为我是通过ospf建立路由表,所以这里要添加一条允许ospf数据包通过的规则

R0(config)#access-list 100 permit tcp any any established  //运用 established 命令检测数据包是否设置了ack,从而防止外网主动访问内网

R0(config)#access-list 100 deny ip any any

将ACL应用到端口

R0(config)#interface Serial0/1/0

R0(config-if)#ip access-group 100 in

R0(config-if)#exit

4测试ACL

Pc0 ping  路由器R1(ICMP数据包默认拒绝,所以不通)

服务器 telnet 内网路由器R2(主动访问被拒绝)

Pc 采用http服务访问服务器

B:自反ACL

原理:通过对经过该端口的请求数据包打上标记,对回复的数据包进行检测,据有该标记的数据包允许通过,否则被拒绝。

拓扑图

1:配置各端口ip地址。

配置R2 ip地址

配置R1 ip地址

2:测试连通性

R2 telnet R4

R4 telnet R2

3:配置命令

在检测连通性,确保无误后,配置acl

R3(config)#ip access-list extended goin

R3(config-ext-nacl)#permit tcp any any eq 23 reflect HKH

R3(config-ext-nacl)#evaluate HKH

R3(config-ext-nacl)#exit

应用到端口

R3(config)#int f0/1

R3(config-if)#ip access-group goin out  //应用到端口的out方向上

R2 telnet R4

R4 telnet R2

至此,自反ACL应用成功

C:动态ACL

原理:Dynamic ACL在一开始拒绝用户相应的数据包通过,当用户认证成功后,就临时放行该数据,但是在会话结束后,再将ACL恢复最初的配置。要定义Dynamic ACL什么时候恢复最初的配置,可以定义会话超时,即会话多久没有传数据,就断开,也可以定义绝对时间,即无论会话有没有结束,到了规定时间,也要断开。

拓扑图

配置步骤

1.配置端口ip地址。

配置R2 ip地址

配置R4 ip地址

测试连通性

R2 telnet R4

配置命令

r1(config)#access-list 100 permit tcp an an eq telnet   //配置默认不需要认证就可以通过的数据,如telnet

r1(config)#access-list 100 dynamic ccie timeout 2 permit icmp any any  //配置认证之

后才能通过的数据,如ICMP,绝对时间为2分钟。

应用ACL到端口

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

测试 :未进行认证时,R2 ping R4

进行认证后,R2 ping R4

至此,动态ACL验证成功

D: 基于时间的ACl

原理: 要通过ACL来限制用户在规定的时间范围内访问特定的服务,首先设备上必须配置好正确的时间。在相应的时间要允许相应的服务,这样的命令,在配置ACL时,是正常配置的,但是,如果就将命令正常配置之后,默认是在所有时间内允许的,要做到在相应时间内允许,还必须为该命令加上一个时间限制,这样就使得这条ACL命令只在此时间范围内才能生效。而要配置这样的时间范围,是通过配置time-range来实现的,在time-range中定义好时间,再将此time-range跟在某ACL的条目之后,那么此条目就在该时间范围内起作用,其它时间是不起作用的。

拓扑图

1配置端口ip地址。

配置R2 ip地址

配置R4ip地址

2测试连通性:R4 telnet R2

3 关键步骤

1.配置time-range

r1(config)#time-range TELNET

r1(config-time-range)#periodic Sunday 9:00 to 18:00

说明:定义的时间范围为每周日的9:00 to 15:00

2.配置ACL

说明:配置R1在上面的时间范围内拒绝R2到R4的telnet,其它流量全部通过。

r1(config)#access-list 100 deny tcp host 10.132.1.2 any eq 23 time-range TELNET

r1(config)#access-list 100 permit ip any any

 

3.应用ACL

r1(config)#int f0/0

r1(config-if)#ip access-group 100 in

4 验证

非允许时间内 R2 telnet R4

允许时间内 R2 ping R4

E:基于上下文的访问控制

拓扑图

配置步骤

1配置端口ip地址,并检测连通性

服务器 ping  pc端

服务器 telnet R3

2配置命令

R3(config)# ip access-list extended go

R3(config-ext-nacl)# deny ip any any   //此ACL目的是隔绝外网流量 

R3(config-ext-nacl)# exit

R3(config)# interface s0/1/1

R3(config-if)# ip access-group go in

R3(config)#ip inspect name HKH icmp

R3(config)#ip inspect name HKH http  // 创建一个检测规则来检测ICMP和HTTP流量

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 10.132.1.2 //开启时间戳记记录和CBAC审计跟踪信息

R3(config)#int s0/1/1

R3(config-if)# ip inspect HKH out

验证:

PC端 ping  服务器

F 区域策略防火墙

拓扑图

1 配置端口地址以及OSPF。

2查看连通性

Pc-a ping pc-c

Pc-c telnet R2

http服务

3配置区域策略防火墙

R3(config)# zone security IN-ZONE //创建区域IN-ZONE

R3(config-sec-zone)# exit

R3(config)# zone security OUT-ZONE //创建区域OUT-ZONE

R3(config-sec-zone)# exit

R3(config)# access-list 101 permit ip 10.132.3.0 0.0.0.255 any //用access-list创建扩展ACL101来在IP层面允许所有从……源网络地址访问到任何其他地址

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP

R3(config-cmap)# match access-group 101

R3(config-cmap)# exit //用 class map type inspect (match all)来创建一个叫 class map type inspect 的class map,用match access-group匹配ACL

R3(config)# policy-map type inspect IN-2-OUT-PMAP //创建策略图IN-2-OUT-PMAP

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP //定义一个检测级别类型和参考策略图

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE  //创建一个区域对IN-2-OUT-ZPAIR对任务一中创建的区域进行源和目的区域定义

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP

R3(config-sec-zone-pair)# exit

R3(config# interface fa0/1

R3(config-if)# zone-member security IN-ZONE

R3(config-if)# exit

R3(config)# interface s0/1/1

R3(config-if)# zone-member security OUT-ZONE

R3(config-if)# exit

测试:

服务器 ping PC端(防火墙阻挡,外网无法ping通PC端)

PC端 ping 服务器

三:实验总结

本次实验将前面所学的网络安全知识进行重新的处理总结,通过重新做这些实验,我发现了他们之间存在一定的联系,比如配置防火墙是可以添加ACL规则进行安全加固,但是必须要理清他们的运作原理。在操作实验过程中,其实有遇到很多问题,也有请教会的同学,经过同学的讲解,和自己一步一步的去摸索,其实主要还是在于它的原理,弄懂原理后就能明白很多。此次实验,让我通过实践充分理解理论知识,并达到学以致用。

原文地址:https://www.cnblogs.com/huangkaihua/p/10891912.html

时间: 2024-11-06 18:28:39

防火墙技术综合实验的相关文章

【实验】综合实验(VLAN间通信,ACL技术,DNS/WEB服务器架设,RIP路由)

实验名称:综合实验 实验目的: 1实现全网互通2Client1可以访问www.ntd1711.com并保存网页文件3PC1与PC2之间的任何类型的流量都无法互通涉及技术:VLAN间通信/RIP/DNS/WEB/3层交换机/ACL 拓扑图: 相关设备: 二层交换机:SW1/SW2/SW3三层交换机:MSW1/MSW2(MSW1为VLAN10/20的网关)(MSW2为VLAN30/40的网关)服务器:DNS服务器/WEB服务器终端设备:主机1-5/客户端1配置思路:一-全网互通(VLAN间畅通)#2

华为防火墙综合实验

华为防火墙综合实验 设计需求: 1:局域网需求(1)vlan的设计vlan10,教务部,网络地址为172.16.10.0/24vlan20,后勤部,网络地址为172.16.20.0/24vlan15,财务部,网络地址为172.16.15.0/24 (2)资源访问要求教务部和后勤部可以上网,并且可以访问DMZ区域的FTP和WEB服务财务部不能和其他vlan通信,也不能上网,但是能够访问DMZ区域的FTP和WEB服务 2:防火墙安全区域的设计防火墙接口G1/0/0加入到trust区域防火墙接口G1/

如何利用PC机搭建综合实验环境之Vmware workstation篇

无论学习windows还是linux,还是学习这些系统上的应用,我们都需要一台甚至多台服务器.但一台服务器动辄上万元,做为正在学习的学生或个人根本无力购买.况且一些实验不止需要一台,还需要多台服务器.再加上供电等因素,个人买服务器来做实验真的是不可能的事情.但不通过实验的话又很难将知识串联起来,实践是检验真理的唯一标准.因此,今天我们来讲如何通过一台PC模拟多台服务器.PC,并且模拟交换机.路由器.防火墙.AAA服务器,最后将交换机,路由器.防火墙.服务器连接起来,搭建成一个综合的实验环境,完成

PPTP VPN在Cisco Router上的应用三:PPTP综合实验

本博文关于PPTP的实验包括以下内容: 实验1:基本的PPTP Server配置和Client配置(WinXP和Win7) 实验2:使用不加密的PPTP配置 实验3:使用PAP或CHAP认证的PPTP配置 实验4:PPTP问题1:TCP1723被阻止导致无法拨通 实验5:GRE防火墙检测和PAT转换问题 实验6:综合实验1:PPTP在实际工程的应用(结合radius实现多用户部署) 在实际项目工程中,如果做VPN的话,很少使用PPTP技术.思科的IPSEC和SSL VPN技术已经十分成熟和先进了

WLGK-51单片机接口技术基础实验 ——LED闪烁灯

WLGK-51单片机接口技术基础实验-LED闪烁灯 当我们开始接触单片机,首先接触的第一个实验就是LED灯的使用,类似于我们学习软件开始接触的第一个程序"HelloWorld",这个实验是带领我们走入"软硬件综合使用"的一个很好入门示例,51单片机是他的一个载体.下面小伙伴们,让我们一起来揭开LED的神秘面纱吧! 万立高科官网:www.wanligaoke.com 万立高科官方商城:http://www.wlgkbj.com 万立高科淘宝直销店铺:https://r

centos7+docker综合实验

dockerfile,registry,使用nginx反向代理搭建私有仓库 防伪码:你好阳光 一.实验拓扑: 二.实验要求: 实验机器(两台centos7.2) 1.registry_server和docker宿主机均需安装docker软件包并启动docker服务. 2.搭建私有仓库服务器,为docker主机提供镜像仓库,实现镜像下载与上传功能 3.在docker宿主机上将下载下来的基础镜像生成提供http和ssh服务的新镜像,可以使用docker commit或docker build命令生成

Linux运维实战之DNS综合实验

本次博文主要是对Linux系统中DNS知识的总结. DNS的基础知识(参见http://sweetpotato.blog.51cto.com/533893/1596973) DNS的基础配置(参见http://sweetpotato.blog.51cto.com/533893/1598225) DNS的高级配置(参见http://sweetpotato.blog.51cto.com/533893/1607383) [本次博文的主要内容] 1.以一个综合案例总结Linux系统中DNS的配置 2.B

NAT--PAT--RIP--DHCP-------小综合实验

NAT--PAT--RIP--DHCP-------小综合实验 一:实验拓扑 二:实验要求 1:要求pc机1和3属于vlan 10,2和4属于vlan 20. 2:要求sw1是三层交换机,要求所有的网关都在sw1上. 3:要求所有pc机都可以上互联网. 4:要求R2可以通过用户名和密码方式远程控制sw1 5:要求sw2和sw3可用通过密码方式被远程控制,且可以在第四条要求的基础上通过跳板技术被远程控制. 6:要求RIP协议实现全网互通. 7:要求自动分配pc机的ip. 三:实验步骤 第一步:实现

2017-2018-2 20155228 《网络对抗技术》 实验四:MSF基础应用

2017-2018-2 20155228 <网络对抗技术> 实验四:MSF基础应用 1. 实践内容 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路.具体需要完成: 1.1 一个主动攻击实践,如ms08_067; (1分) 1.2 一个针对浏览器的攻击,如ms11_050:(1分) 1.3 一个针对客户端的攻击,如Adobe:(1分) 1.4 成功应用任何一个辅助模块.(0.5分) 以上四个小实践可不限于以上示例,并要求至少有一个是和其他所有同学不一样的,否则扣